Перейти к содержанию

Рекомендуемые сообщения

Добрый день, 
 
У нас случилась точно такая же беда. В компанию пришло письмо с таким же текстом и письмо переслали бухгалтеру.
В результате практически все файлы зашифровались.   с изменение расширения на unstyx@gmail_com
 
Подскажите есть ли шанс расшифровать и какие дополнительные действия нужно сделать
 
Письмо сохраненное  прикладываю 

Сообщение от модератора Mark D. Pearlstone
Файл удалён.
Ссылка на сообщение
Поделиться на другие сайты

Подскажите есть ли шанс расшифровать

Без шансов. 

 

какие дополнительные действия нужно сделать

Сделать логи по правилам. 

Ссылка на сообщение
Поделиться на другие сайты

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\Users\alina\AppData\Roaming\gnupg\*','');
QuarantineFile('C:\Windows\Temp\TS_81E2.tmp','');
QuarantineFile('C:\Users\alina\appdata\local\temp\svchost.exe','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Для создания архива с карантином выполните скрипт:
begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.
Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).
Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.
В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).
В строке "Электронный адрес:" укажите адрес своей электронной почты.
Полученный ответ сообщите в этой теме.
Ссылка на сообщение
Поделиться на другие сайты
Здравствуйте! 
 
 
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 
begin
ExecuteAVUpdate;
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 QuarantineFile('C:\Users\alina\appdata\local\temp\svchost.exe','');
 QuarantineFile('C:\Users\alina\AppData\Local\Temp\svchost.exe','');
 DeleteFile('C:\Users\alina\AppData\Local\Temp\svchost.exe','32');
 DeleteFile('C:\Users\alina\appdata\local\temp\svchost.exe','32');     
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
 
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
 
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
 
quarantine.zip из папки AVZ отправьте через данную форму.
1. Выберите тип запроса "Запрос на исследование вредоносного файла".
2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина
4. Введите изображенное на картинке число и нажмите "Далее".
5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com
 Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Что в этой папке?
 
2014-05-26 12:20:25 ----D---- C:\Users\alina\AppData\Roaming\gnupg
 
Сделайте новые логи AVZ

Скачайте Malwarebytes' Anti-Malware, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!
Если лог не открылся, то найти его можно в следующей папке:
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве
 
 
Ссылка на сообщение
Поделиться на другие сайты

Добрый день,

 

Скрипты выполнил, запрос отправил.

 

В папке gnupg - файлы с расширением  .gpg и gpg.lock  в одном из них (pubring.gpg есть кусок текста c unstyx и тд ). 

 

Логи + файл карантина + архив папки gnupg приложил.

 

virusinfo_syscheck.zipMBAM-log-2014-06-01 (18-26-34).txt

Сообщение от модератора Mark D. Pearlstone
Не выкладывайте то, что не просят. Лишние файлы удалены
Ссылка на сообщение
Поделиться на другие сайты

В MBAM удалите только эту запись:

Обнаруженные файлы:
c:\windows\system32\drivers\etc\hоsts (Hijack.Trace) -> Действие не было предпринято.

Папка 

C:\Users\alina\AppData\Roaming\gnupg

От легальной программы GnuPG (http://ru.wikipedia.org/wiki/GnuPG), которую использовали для шифрования файлов. Можете удалить ее т.к. в ней нет приватного ключа, который мог бы помочь в расшифровке файлов.

Изменено пользователем mike 1
Ссылка на сообщение
Поделиться на другие сайты

Добрый день,

 

В одной из папок нашел файл KEY.PRIVATE  - не знаю поможет ли, но на всякий случай прилагаю.

 

Случайно обратил внимание на то, что у всех зашифрованных файлов совпадают первые несколько байт. С надеждой что это как то поможет прикладываю пару файлов.

 

Возможно смогу найти и оригиналы файлов, если нужно...

 

KEY.PRIVATE.zipfiles.rar

Ссылка на сообщение
Поделиться на другие сайты

Это вы нашли открытый RSA ключ он ни чем не поможет. Без закрытого ключа RSA файлы расшифровать нельзя. Поэтому без шансов. 

Ссылка на сообщение
Поделиться на другие сайты
  • 2 weeks later...

Здравствуйте, 

похожая ситуация с зашифрованными файлами.

Подскажите, пожалуйста, не решена ли проблема на данный момент.

 

Требуют 100 евро.

Ссылка на сообщение
Поделиться на другие сайты

возможно ли заплатить, получить необходимое для расшифровки, а затем отозвать платёж?

Думаю автор шифратора не дурак чтобы сразу выслать секретную часть ключа. 

Ссылка на сообщение
Поделиться на другие сайты

Только не вздумайте платить. Парни сначала участливо переписываются, когда доходит до подтверждения получения средств - отвечают что средств не получали и перестают отвечать. Будьте аккуратнее.

Ссылка на сообщение
Поделиться на другие сайты

платить... 

 

подскажите, возможно ли заплатить, получить необходимое для расшифровки, а затем отозвать платёж?

В некоторых ситуациях, полученный платеж можно отозвать. Смотря какие возможности у вашего банка. Я в своем например могу отозвать по причине "не получена оплаченная услуга". В Вашем случае злоумышленник не смог бы доказать обратное...

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
×
  • Создать...